Logótipo da Signify
Sugestões

    Declaração de segurança e privacidade para produtos conectados

      Segurança e privacidade

       

      Na Signify, os sistemas de iluminação conectados são essenciais para o nosso negócio.

       

      Os sistemas de iluminação conectados combinam luminárias, sensores e outros dispositivos dos sistemas de iluminação com o software e os serviços Interact.

       

      Ao incluírem comunicações bidirecionais de dados, os dispositivos dos sistemas de iluminação conectados participam na Internet das Coisas (IdC). À medida que tais dispositivos habilitados pela IdC proliferam e que os sistemas de iluminação conectados se tornam mais profundamente integrados nas redes de iluminação de edifícios públicos e de rua, as aplicações, os processos e as funções de segurança tornam-se mais cruciais e, por conseguinte, mais valiosos.

       

      A segurança faz parte de todos os aspetos da nossa inovação, dos nossos produtos, sistemas e serviços – desde o desenvolvimento de sistemas seguros até à segurança dos dispositivos, das redes e da nuvem, passando pela monitorização dos sistemas e atualizações seguras dos dispositivos.

       

      Os nossos processos de segurança apoiam-se numa base sólida de padrões, de governo e de procedimentos da indústria. Ao selecionar a Signify como um parceiro, pode confiar que dedicamos grande atenção à segurança em todos os produtos, sistemas e serviços, e que a Signify irá apoiá-lo ao longo de todo o ciclo de vida de um sistema de iluminação conectado.

      Governo, ensino e formação

       

      Na Signify, o Escritório de Segurança Empresarial gere a administração da segurança. A Equipa de Liderança na Segurança de Produtos, que inclui membros da organização de Segurança dos Produtos Empresariais, de grupos empresariais e da Equipa de Inovação de Produtos, coordena os nossos esforços de segurança. Uma rede de arquitetos e especialistas em segurança integrada nas equipas de desenvolvimento apoia as atividades de segurança relacionadas com o desenvolvimento de produtos.

       

      As políticas e os processos da Signify estão alinhados com normas globais, como as normas ISO/IEC 2700x — Information Security Management Systems (ISMS) e o conjunto de normas ISA/IEC 62443 para o desenvolvimento de produtos. Através do nosso Departamento de Normas e Regulamentação, colaboramos com inúmeras organizações de normalização mundiais, como a IEC, o ANSI e o CENELEC, e com alianças do setor, como a IoT Security Foundation. Os processos empresariais da Signify são regularmente submetidos a auditorias internas e externas.

       

      Todos os colaboradores da Signify devem participar em formações regulares sobre cibersegurança e sensibilização para a privacidade. Os arquitetos dos sistemas e os engenheiros de desenvolvimento devem também receber formação adicional específica e certificações de segurança internas.

       

      Os especialistas em segurança da Signify possuem várias certificações do setor, tais como Certified Information Systems Security Professional (CISSP), Certified Secure Software Lifecycle Professional (CSSLP), Certified Information Security Manager (CISM) e Certified Information Systems Auditor (CISA).

      Segurança por design

       

      Todas as nossas atividades de desenvolvimento internas e externas seguem o Ciclo de Vida de Desenvolvimento de Segurança (SDL, Security Development Lifecycle) da Signify, que define as melhores práticas aceites. Os principais componentes do SDL são a análise de riscos de segurança e a modelação de ameaças, a análise e a revisão de códigos, e a gestão de vulnerabilidades. Aplicamos o SDL a todos os nossos produtos de hardware, sistemas, serviços, software e soluções para a nuvem.

       

      Em conformidade com o SDL, a Signify executa as seguintes ações durante o design, o desenvolvimento e os testes:

       

      • São realizadas análises de riscos de segurança para cada novo projeto e para todas as alterações significativas a um projeto existente, com base nos requisitos de segurança da Signify alinhados com o conjunto de normas ISA/IEC 62443.
      • Durante o desenvolvimento, são regularmente efetuadas análises de código automáticas e revisões de código manuais. Estas análises e revisões baseiam-se em, entre outros, enquadramentos como o OWASP IoT Project e o OWASP Top Ten Project. 
      • O código de terceiros, incluindo o código open source, é automaticamente analisado para identificar e mitigar vulnerabilidades. 
      • É assegurada a proteção do sistema operativo para dispositivos incorporados e soluções baseadas na nuvem.
      • São implementadas e regularmente revistas regras de segurança de rede e firewall adequadas. 
      • A encriptação dos dados em trânsito e em repouso é implementada de acordo com as normas geralmente aceites no setor, conforme descrito no Federal Information Processing Standard Publication 140-2 (FIPS 140-2). 
      • São realizados testes de penetração por entidades internas e/ou externas, no mínimo, antes de cada lançamento do cliente.

       

      A Equipa de Inovação é responsável pela avaliação das tecnologias de segurança de IoT mais recentes e apoia a equipa de desenvolvimento na tomada das opções certas durante a introdução de novos algoritmos de segurança, soluções e parceiros tecnológicos.

       

      A Signify realiza regularmente auditorias aos seus parceiros e à cadeia logística para manter o nível adequado de segurança no processo de fabrico.

      Operações e manutenção

       

      A Signify estabelece parcerias com os principais fornecedores globais de serviços na nuvem para fornecer uma plataforma resiliente para os nossos sistemas baseados na nuvem. A implementação desses serviços baseados na nuvem nos centros de dados em várias áreas geográficas, de acordo com requisitos de jurisdição de dados, permite a continuidade do negócio.

       

      Os nossos sistemas baseados na nuvem são geridos por uma equipa especializada de operações globais para assegurar a separação adequada de deveres para fins de administração do sistema. As responsabilidades da equipa incluem a produção de especificações de operação e a realização de manutenção, atualizações de segurança, gestão de vulnerabilidades, cópias de segurança, registo, monitorização e gestão de eventos e incidentes. A equipa também realiza a revisão periódica da segurança da rede e das aplicações.

       

      A Signify tem um protocolo rigoroso para implementação de atualizações em sistemas baseados na nuvem, o que define um processo formal de teste, desenvolvimento e aceitação antes da aprovação dos sistemas para produção.

      Gestão de incidentes

       

      A Signify encara a segurança como uma parte integrante do processo de qualidade. As responsabilidades atribuídas e os critérios estabelecidos asseguram uma resposta adequada em caso de suspeita de eventos e incidentes de segurança. Cada suspeita de evento de segurança é avaliada relativamente a um conjunto de critérios para determinar se se qualifica com um incidente de segurança. Quando os incidentes de segurança ocorrem, são tomadas medidas de mitigação imediatas e adequadas.

       

      Periodicamente, são conduzidas atividades sobre os ensinamentos colhidos e, adicionalmente, após incidentes importantes, para melhorar as medidas de segurança em geral e o tratamento dos incidentes, em particular.

      Privacidade

       

      Na Signify, levamos a privacidade muito a sério. O respeito pela privacidade guia a nossa seleção de parceiros de negócio, a forma como concebemos os produtos e serviços, e a nossa abordagem ao tratamento dos dados pessoais. Asseguramos que todos os empregados, consumidores, clientes e parceiros comerciais da Signify mantêm o controlo sobre a forma como os seus dados são geridos, processados e armazenados.

      Para obter mais informações sobre o nosso compromisso com a privacidade dos dados, visite o Centro de privacidade da Signify.

      A função do cliente na segurança dos produtos

       

      A Signify reconhece que a segurança dos nossos produtos e serviços é uma parte importante da estratégia de segurança aprofundada dos nossos clientes. No entanto, na prática, a segurança é uma responsabilidade partilhada pelos fabricantes e fornecedores de produtos e os seus clientes.

       

      A avaliação adequada dos riscos e o cuidado adequado na instalação, na manutenção e nas operações são essenciais para mitigar as ameaças internas e externas.

      Página de divulgação de vulnerabilidades coordenada

       

      A Signify apoia divulgações responsáveis de vulnerabilidades e encoraja os investigadores e os hackers éticos a comunicar vulnerabilidades identificadas.

       

      Para obter mais informações sobre a divulgação responsável da Signify, visite a nossa Página de divulgação de vulnerabilidades coordenada.

      Segurança da Signify: melhores práticas selecionadas

       

      As melhores práticas selecionadas para assegurar a segurança dos produtos, sistemas e serviços de iluminação conectada IoT incluem, sem limitação, as seguintes:

      Governo, ensino e formação

      • Supervisão dedicada de escritório de segurança de produtos
      • Alinhamento com normas como a ISO 2700x e IEC 62443, e o IoT Security Framework
      • Separação de deveres
      • Acesso menos privilegiado
      • Participação em organismos de normalização, tais como IEC, ANSI e CENELEC
      • Certificação de segurança e formação para todos os funcionários
      • Formação e certificação específicas para arquitetos de segurança e engenheiros de desenvolvimento
      • Peritos de segurança integrados por toda a organização
      • Certificações de normas da indústria, incluindo CISSP, CISM, CISA e CSSLP, para funcionários em funções essenciais

       

      Design e desenvolvimento

      • Práticas aceites pela indústria para processos de ciclo de vida de desenvolvimento de segurança para todo o desenvolvimento de produtos e serviços
      • Modelação de ameaças e avaliação de riscos de segurança
      • Análise e revisão de código automática e manual
      • Avaliação automática de vulnerabilidades de código open source de terceiros

       

      Segurança física e dos dispositivos

      • Mecanismos concebidos para assegurar apenas a execução de código fidedigno (arranque seguro sempre que possível)
      • Interfaces de depuração de remoção de hardware
      • Comunicações restritas com interfaces de depuração
      • Autenticação para proteger as atualizações do firmware
      • Resistência a ataques side-channel
      • Proteção do sistema operativo
      • Aplicação de enquadramentos OWASP e OWASP IoT

       

      Interfaces com e sem fios

      • Versão mais recente de protocolos de camada de aplicação
      • Utilização de WPA2 com encriptação AES para Wi-Fi
      • Identidade de dispositivo e certificados únicos
      • Protocolos Bluetooth mais recentes
      • Protocolo Zigbee com funcionalidades de segurança avançadas

       

      Autenticação e autorização de dispositivos

      • Identidade de dispositivo e certificados únicos
      • Autenticação multifator disponível
      • Autenticação com chaves e palavras-passe pré-partilhadas
      • Alteração da palavra-passe predefinida na instalação (primeiro início de sessão)
      • Controlo de acesso baseado em funções

       

      Encriptação e gestão de chaves

      • Geração de números aleatória criptograficamente segura
      • Funções criptográficas concebidas para a vida útil esperada do produto
      • Dados seguros em repouso e em trânsito com normas aceites pela indústria (por exemplo, FIPS 140-2)
      • Informações confidencias em localizações resistentes à adulteração
      • Dados em trânsito encriptados com as tecnologias mais recentes (por exemplo, TLS 1.2)
      • Dados em repouso encriptados com normas aceites pela indústria quando necessário (por exemplo, AES 256)

       

      Aplicações móveis

      • Diretrizes e normas de segurança de sistemas Android e Apple iOS
      • Acesso restrito a bases de dados e ficheiros
      • Dados em trânsito encriptados com as tecnologias mais recentes (por exemplo, TLS 1.2)
      • Utilização de certificados seguros para as comunicações com servidores remotos
      • Validação de dados para todas as entradas

       

      Serviços na nuvem

      • Melhores práticas de segurança na nuvem, conforme recomendado por fornecedores de serviços na nuvem
      • CIS Benchmarks e outros enquadramentos de proteção
      • Alinhamento com as melhores práticas da Cloud Security Alliance
      • Segurança da nuvem e contentores

       

      Resiliência e continuidade do negócio

      • Implementação em diversos centros de dados em zonas geograficamente distintas
      • Ambientes de teste/aceitação/produção distintos
      • Processo de aprovação rigoroso para atualização dos sistemas de produção

       

      Cadeia logística e fabrico

      • Processo rigoroso para a distribuição de chaves e secretos
      • Distribuição controlada do firmware e das atualizações
      • Equipa dedicada à segurança dos fornecedores

       

      Inovação e investigação

      • Equipa dedicada à investigação de novas tecnologias de segurança de IoT
      • Apoio da equipa de desenvolvimento na implementação de novas tecnologias e algoritmos de segurança
      • Processo de aprovação rigoroso para atualização dos sistemas de produção

       

      Propriedade de dispositivos

      • Remoção completa de todos os dados pessoais com a transferência da propriedade ou a cessação de um serviço
      • Anulação segura do registo do dispositivo

       

      Privacidade

      • Privacidade coordenada pelo Diretor de Privacidade
      • Realização de avaliação do impacto da privacidade para cada sistema
      • Alinhamento com o RGPD da UE e os regulamentos de privacidade aplicáveis
      A presente declaração é fornecida apenas para fins informativos. Representa as práticas atuais de desenvolvimento dos produtos da Signify à data de publicação. As informações constantes estão sujeitas a alterações sem aviso prévio.

      Os clientes são responsáveis por efetuar a sua própria avaliação independente dos produtos ou serviços da Signify e da utilização decorrente. Estas informações são fornecidas "como estão", sem qualquer tipo de garantia, explícita ou implícita, e não constituem nenhuma garantia, representação, compromisso contratual, condição ou promessa da parte da Signify, das suas afiliadas, dos seus fornecedores ou licenciadores. As responsabilidades e obrigações da Signify e dos seus clientes estão definidas em contratos entre a Signify e os seus clientes. Estas informações não são parte integrante, nem modificam, qualquer contrato entre a Signify e os seus clientes.

      Teremos todo o prazer em falar consigo

      Contacte-nos